移行フェーズ 3 - クライアント側の構成Migration phase 3 - client-side configuration

適用対象: Active Directory Rights Management サービス、Azure Information ProtectionOffice 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

AD RMS から Azure Information Protection への移行フェーズ 3 では、次の情報を使用してください。Use the following information for Phase 3 of migrating from AD RMS to Azure Information Protection. これらの手順では、「AD RMS から Azure Information Protection への移行」の手順 7 を説明します。These procedures cover step 7 from Migrating from AD RMS to Azure Information Protection.

手順 7.Step 7. Azure Information Protection を使用するように Windows コンピューターを再構成するReconfigure Windows computers to use Azure Information Protection

Office 365 アプリ、Office 2019、または Office 2016 のクイック実行デスクトップ アプリを使用する Windows コンピューターの場合:For Windows computers that use Office 365 apps, Office 2019, or Office 2016 click-to-run desktop apps:

  • DNS リダイレクトを使用して、Azure Information Protection を使用するようにこれらのクライアントを再構成することができます。You can reconfigure these clients to use Azure Information Protection by using DNS redirection. これが最も簡単なため、クライアントの移行にお勧めの方法です。This is the preferred method for client migration because it is the simplest. ただし、この方法は Windows コンピューター用の Office 2016 (またはそれ以降) のクイック実行デスクトップ アプリに制限されます。However, this method is restricted to Office 2016 (or later) click-to-run desktop apps for Windows computers.

    この方法では、新しい SRV レコードを作成して、AD RMS の発行エンドポイントのユーザーに NTFS の拒否のアクセス許可を設定する必要があります。This method requires you to create a new SRV record, and set an NTFS deny permission for users on the AD RMS publishing endpoint.

  • Office 2019 または Office 2016 のクイック実行を使用しない Windows コンピューターの場合:For Windows computers that don't use Office 2019 or Office 2016 click-to-run:

    DNS リダイレクトは使用できません。代わりに、レジストリの編集を使用する必要があります。You cannot use DNS redirection and instead, must use registry edits. DNS リダイレクトを使用できる Office のバージョンと使用できない Office のバージョンが混在している場合は、すべての Windows コンピューターでこの単一の方法を使用することも、DNS リダイレクトとレジストリの編集を組み合わせて使用することもできます。If you have a mix of Office versions that can and cannot use DNS redirection, you can use this single method for all Windows computers, or a combination of DNS redirection and editing the registry.

    ダウンロードできるスクリプトを編集およびデプロイすると、レジストリの変更が簡単になります。The registry changes are made easier for you by editing and deploying scripts that you can download.

Windows クライアントを再構成する方法の詳細については、次のセクションを参照してください。See the following sections for more information about how to reconfigure Windows clients.

DNS リダイレクトを使用するクライアントの再構成Client reconfiguration by using DNS redirection

この方法は、Office 365 アプリおよび Office 2016 (またはそれ以降) のクイック実行デスクトップ アプリを実行する Windows クライアントにのみ適しています。This method is suitable only for Windows clients that run Office 365 apps and Office 2016 (or later) click-to-run desktop apps.

  1. 次のような形式を使用して DNS SRV レコードを作成します。Create a DNS SRV record using the following format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    <AD RMS クラスター> には、お客様の AD RMS クラスターの FQDN を指定します。For <AD RMS cluster>, specify the FQDN of your AD RMS cluster. 例: rmscluster.contoso.comFor example, rmscluster.contoso.com.

    代わりに、そのドメインに 1 つだけ AD RMS クラスターがある場合は、AD RMS クラスターのドメイン名だけを指定できます。Alternatively, if you have just one AD RMS cluster in that domain, you can specify just the domain name of the AD RMS cluster. この例では、contoso.com になります。In our example, that would be contoso.com. このレコードにドメイン名を指定すると、リダイレクトがそのドメインの任意またはすべての AD RMS クラスターに適用されます。When you specify the domain name in this record, the redirection applies to any and all AD RMS clusters in that domain.

    <ポート> 番号は無視されます。The <port> number is ignored.

    <使用しているテナント URL> には、テナントの自分の Azure Rights Management サービス URL を指定します。For <your tenant URL>, specify your own Azure Rights Management service URL for your tenant.

    Windows Server で DNS サーバー ロールを使用する場合、DNS マネージャー コンソールで SRV レコード プロパティを指定する方法の例として、次の表を使用できます。If you use the DNS Server role on Windows Server, you can use the following table as an example how to specify the SRV record properties in the DNS Manager console.

    フィールドField Value
    ドメインDomain _tcp.rmscluster.contoso.com_tcp.rmscluster.contoso.com
    サービスService _rmsredir_rmsredir
    プロトコールProtocol _http_http
    優先度Priority 00
    重みWeight 00
    ポート番号Port number 8080
    このサービスを提供しているホストHost offering this service 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Office 365 アプリまたは Office 2016 (またはそれ以降) を実行しているユーザーに対し、AD RMS の発行エンドポイントで拒否のアクセス許可を設定します。Set a deny permission on the AD RMS publishing endpoint for users running Office 365 apps or Office 2016 (or later):

    に設定する必要があります。a. クラスター内の AD RMS サーバーのいずれかで、Internet Information Services (IIS) マネージャー コンソールを開始します。On one of your AD RMS servers in the cluster, start the Internet Information Services (IIS) Manager console.

    b.b. 既定の Web サイト > _wmcs > licensing > licensing.asmx に移動します。Navigate to Default Web Site > _wmcs > licensing > licensing.asmx

    c.c. licensing.asmx > [プロパティ] > [編集] を右クリックして選択します。Right-click licensing.asmx > Properties > Edit

    d.d. [licensing.asmx の権限] ダイアログ ボックスで、すべてのユーザーにリダイレクトを設定するために [ユーザー] を選択するか、 [追加] を選択してリダイレクトするユーザーを含むグループを指定します。In the Permissions for licensing.asmx dialog box, either select Users if you want to set redirection for all users, or click Add and then specify a group that contains the users that you want to redirect.

    すべてのユーザーが DNS リダイレクトをサポートする Office のバージョンを使用している場合でも、段階的な移行のために、最初にユーザーのサブセットを指定したい場合があります。Even if all your users are using a version of Office that supports DNS redirection, you might prefer to initially specify a subset of users for a phased migration.

    e.e. 選択したグループの [読み取りと実行][読み取り] のアクセス許可に [拒否] を選択して、 [OK] を 2 回クリックします。For your selected group, select Deny for the Read & Execute and the Read permission, and then click OK twice.

    f.f. この構成が想定どおりに動作することを確認するには、ブラウザーから直接 licensing.asmx ファイルへの接続を試みます。To confirm this configuration is working as expected, try to connect to the licensing.asmx file directly from a browser. 次のエラー メッセージが表示されます。これにより、Office 365 アプリ、Office 2019、または Office 2016 を実行しているクライアントが SRV レコードの検索を開始します。You should see the following error message, which triggers the client running Office 365 apps or Office 2019 or Office 2016 to look for the SRV record:

    エラー メッセージ 401.3: 指定した資格情報を使用して、このディレクトリまたはページを表示するアクセス許可がありません (アクセス制御リストにより、アクセスが拒否されました)。Error message 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists).

レジストリの編集を使用するクライアントの再構成Client reconfiguration by using registry edits

この方法はすべての Windows クライアントに適用され、Office 365 アプリ、Office 2019、This method is suitable for all Windows clients and should be used if they do not run Office 365 apps, or Office 2019. または Office 2016 を実行せずに、以前のバージョンを実行している場合に使用されます。or Office 2016, but instead, an earlier version of Office. この方法では、2 つの移行スクリプトを使って AD RMS クライアントを再構成します。This method uses two migration scripts to reconfigure AD RMS clients:

  • Migrate-Client.cmdMigrate-Client.cmd

  • Migrate-User.cmdMigrate-User.cmd

クライアント構成スクリプト (Migrate-Client.cmd) は、コンピューター レベルの設定をレジストリ内で構成します。つまり、それらの設定を変更できるセキュリティ コンテキストで、このスクリプトを実行する必要があります。The client configuration script (Migrate-Client.cmd) configures computer-level settings in the registry, which means that it must run in a security context that can make those changes. 通常、次のいずれかの方法が使用されます。This typically means one of the following methods:

  • グループ ポリシーを使用して、コンピューターのスタートアップ スクリプトとしてスクリプトを実行します。Use group policy to run the script as a computer startup script.

  • グループ ポリシー ソフトウェア インストールを使用して、スクリプトをコンピューターに割り当てます。Use group policy software installation to assign the script to the computer.

  • ソフトウェア デプロイ ソリューションを使用して、スクリプトをコンピューターにデプロイします。Use a software deployment solution to deploy the script to the computers. たとえば、System Center Configuration Manager のパッケージとプログラムを使用します。For example, use System Center Configuration Manager packages and programs. パッケージとプログラムのプロパティの [実行モード] で、デバイスに対して管理者アクセス許可でスクリプトが実行されるように指定します。In the properties of the package and program, under Run mode, specify that the script runs with administrative permissions on the device.

  • ユーザーがローカルの管理者特権を持つ場合は、ログオン スクリプトを使用します。Use a logon script if the user has local administrator privileges.

ユーザー構成スクリプト (Migrate-User.cmd) は、ユーザー レベルの設定を構成し、クライアントのライセンス ストアをクリーンアップします。The user configuration script (Migrate-User.cmd) configures user-level settings and cleans up the client license store. つまり、このスクリプトは、実際のユーザーのコンテキストで実行する必要があります。This means that this script must run in the context of the actual user. たとえば、次のようになります。For example:

  • ログオン スクリプトを使用します。Use a logon script.

  • グループ ポリシー ソフトウェア インストールを使用して、ユーザーが実行するためのスクリプトを発行します。Use group policy software installation to publish the script for the user to run.

  • ソフトウェア デプロイ ソリューションを使用して、スクリプトをユーザーにデプロイします。Use a software deployment solution to deploy the script to the users. たとえば、System Center Configuration Manager のパッケージとプログラムを使用します。For example, use System Center Configuration Manager packages and programs. パッケージとプログラムのプロパティの [実行モード] では、ユーザーのアクセス許可でスクリプトが実行されるように指定します。In the properties of the package and program, under Run mode, specify that the script runs with the permissions of the user.

  • コンピューターにサインインする場合に、スクリプトを実行するようにユーザーに求めます。Ask the user to run the script when they are signed in to their computer.

2 つのスクリプトは、バージョン番号を含んでおり、このバージョン番号が変更されるまで再実行されません。The two scripts include a version number and do not rerun until this version number is changed. すなわち、移行が完了するまで、スクリプトを所定の場所に置いておくことができます。This means that you can leave the scripts in place until the migration is complete. ただし、コンピューターに再実行させるスクリプトおよび Windows コンピューター上でユーザーに再実行させるスクリプトに変更を加えた場合は、両方のスクリプトの次の行をより大きな値に更新します。However, if you do make changes to the scripts that you want computers and users to rerun on their Windows computers, update the following line in both scripts to a higher value:

SET Version=20170427

ユーザー構成スクリプトは、クライアント構成スクリプトの後で実行するように設計されており、バージョン番号を使用してその確認が行われます。The user configuration script is designed to run after the client configuration script, and uses the version number in this check. 同じバージョンを持つクライアント構成スクリプトが実行されていない場合は、停止します。It stops if the client configuration script with the same version has not run. この確認方法により、2 つのスクリプトは適切な順序で実行されます。This check ensures that the two scripts run in the right sequence.

すべての Windows クライアントを一度に移行できない場合は、クライアントのバッチ処理のための次の手順を実行します。When you cannot migrate all your Windows clients at once, run the following procedures for batches of clients. バッチで移行する Windows コンピューターを使用しているユーザーごとに、前に作成した AIPMigrated グループにユーザーを追加します。For each user who has a Windows computer that you want to migrate in your batch, add the user to the AIPMigrated group that you created earlier.

レジストリの編集に使用するスクリプトを変更するModifying the scripts for registry edits

  1. 移行スクリプト Migrate-Client.cmd および Migrate-User.cmd に戻ります。準備段階 でこれらのスクリプトをダウンロードしたときに抽出済みです。Return to the migration scripts, Migrate-Client.cmd and Migrate-User.cmd, which you extracted previously when you downloaded these scripts in the preparation phase.

  2. MigrateClient.cmd の指示に従ってスクリプトを修正し、テナントの Azure Rights Management サービスの URL と、AD RMS クラスターのエクストラネット ライセンス URL およびイントラネット ライセンス URL のサーバー名を追加します。Follow the instructions in Migrate-Client.cmd to modify the script so that it contains your tenant's Azure Rights Management service URL, and also your server names for your AD RMS cluster extranet licensing URL and intranet licensing URL. 次に、前述したスクリプトのバージョンをインクリメントします。Then, increment the script version, which was previously explained. スクリプトのバージョンを追跡するには、今日の日付を YYYYMMDD 形式で表現することをお勧めします。A good practice for tracking script versions is to use today’s date in the following format: YYYYMMDD

    重要

    前と同様に、アドレスの前後に余分なスペースが挿入されないように注意してください。As before, be careful not to introduce additional spaces before or after your addresses.

    さらに、AD RMS サーバーが SSL/TLS サーバー証明書を使用している場合は、ライセンス URL の文字列にポート番号 443 が含まれることを確認します。In addition, if your AD RMS servers use SSL/TLS server certificates, check whether the licensing URL values include the port number 443 in the string. たとえば、 https://rms.treyresearch.net:443/_wmcs/licensing と指定します。For example: https://rms.treyresearch.net:443/_wmcs/licensing. この情報は、Active Directory Rights Management サービス コンソールでクラスター名をクリックして、 [クラスターの詳細] で確認できます。You can find this information in the Active Directory Rights Management Services console when you click the cluster name and view the Cluster Details information. ポート番号 443 が URL に含まれる場合は、スクリプトを変更するときにこの値を含めます。If you see the port number 443 included in the URL, include this value when you modify the script. たとえば、 https://rms.treyresearch.net:443 のように指定します。For example, https://rms.treyresearch.net:443.

    <YourTenantURL> の Azure Rights Management サービス URL を取得する必要がある場合は、前の「Azure Rights Management サービス URL を識別するには」をご覧ください。If you need to retrieve your Azure Rights Management service URL for <YourTenantURL>, refer back to To identify your Azure Rights Management service URL.

  3. この手順の先頭に示した説明に従って、AIPMigrated グループのメンバーによって使用されている Windows クライアント コンピューター上で Migrate-Client.cmd および Migrate-User.cmd を実行するようにスクリプト デプロイ方法を構成します。Using the instructions at the beginning of this step, configure your script deployment methods to run Migrate-Client.cmd and Migrate-User.cmd on the Windows client computers that are used by the members of the AIPMigrated group.

次のステップNext steps

移行を続行するには、「移行フェーズ 4 - サービス構成のサポート」に進んでください。To continue the migration, go to phase 4 -supporting services configuration.